Прозрачное проксирование Squid HTTPS с купленным сертификатом?

2

3

Вопрос пока что исключительно в теоретической плоскости. Имеется Wi-Fi сеть, которую нужно жёстко контролировать и мониторить трафик. При этом потенциальные пользователи не отличаются интеллектуальными способностями, так что вариант с нормальным проксированием не прокатывает (не найдут на своих гаджетах, как это сделать). При этом прозрачное проксирование в режиме HTTPS по-сути имитирует MitM-атаку, что вынуждает добавлять ключ кальмара в ключницу устройства, что опять же, не вариант. Но при этом у организации есть официально купленный SSL-сертификат, который разрешили использовать в данных целях. Так вот, если его подпихивать при прозрачном проксировании, будут ли устройства клиентов жаловаться на сертификат?

Ссылка

←	Астериск и переход на белый ip

SpaceWalk добавить систему.

→

официально купленный SSL-сертификат

На какой домен, на wildcard по всему корню что ли, лiл?

Deleted
(12.01.16 15:35:42 MSK)

Ответ на: комментарий от Deleted 12.01.16 15:35:42 MSK

На домен организации. То есть, без корневого оно не пойдёт, я верно понимаю?

Le_Raux ☆
(12.01.16 15:38:23 MSK) автор топика

Ссылка

будут ли устройства клиентов жаловаться на сертификат?

они не будут жаловаться только на домены компании.

snaf ★★★★★
(12.01.16 15:58:55 MSK)

Ответ на: комментарий от snaf 12.01.16 15:58:55 MSK

Ясно, спасибо. В таком случае выхода, кроме как закупать спецжелезки с DPI попросту нет?

Le_Raux ☆
(12.01.16 16:02:30 MSK) автор топика

Ответ на: комментарий от Le_Raux 12.01.16 16:02:30 MSK

есть!

1) snort/squid вроде тоже умеет dpi
2) импортировать ca сертификат всем пользователям
3) перестать следить за работодателями если они не работают с секретной инфой.

snaf ★★★★★
(12.01.16 16:06:50 MSK)
Последнее исправление: snaf 12.01.16 16:07:57 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Le_Raux 12.01.16 16:02:30 MSK

спецжелезки с DPI

Это немного миф

redixin ★★★★
(12.01.16 16:14:06 MSK)

Ответ на: комментарий от Le_Raux 12.01.16 16:02:30 MSK

Нет никаких спецжелезок. Тебе никто не выдаст сертификат на произвольный сайт. Вообще никто, в принципе. Всё, что ты можешь сделать — выпустить самоподписанный сертификат, добавить его во все клиентские устройства, как доверенный центр и настроить MITM-атаку через этот сертификат.

Ещё можешь сделать SSLStrip атаку: не пускать никого на 443 порт, чтобы ходили только через 80 порт. Но это не будет работать, если веб-сайт отправит устройству HSTS-заголовок хоть раз (т.е. если устройство зайдёт на этот сайт мимо твоей прокси хоть раз). В принципе, наверное, 90% HTTPS-сайтов не отправляют этот заголовок. Но самые интересные, конечно, отправляют.

~~Legioner~~ ★★★★★
(12.01.16 17:08:08 MSK)
Последнее исправление: Legioner 12.01.16 17:09:00 MSK (всего исправлений: 1)

Ответ на: комментарий от Legioner 12.01.16 17:08:08 MSK

SSLStrip

Любопытная идея. В том смысле, что у cameleo.ru точно такая же реализация (всё идёт только в незащищённом виде) и ругань на использование не SSL-подключения я там видел всего раз. Осталось понять, как её реализовать?

Le_Raux ☆
(12.01.16 17:53:13 MSK) автор топика

Ответ на: комментарий от Le_Raux 12.01.16 17:53:13 MSK

Теперь не надо так заморачиваться. Вот статья http://habrahabr.ru/post/272733/. Сам по ней делал. Работает. Устройства не ругаются. Жаль только что в логах (а значит и в статистике) https сайты отображаются не по URL, а по IP

as_lan ★★
(12.01.16 23:11:00 MSK)